abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 10:44 | Komunita

Společně s openSUSE Conference 2018 probíhá dnes v Praze na Fakultě informačních technologií ČVUT jednodenní seminář CryptoFest 2018 (Twitter). Přednášky lze sledovat online na YouTube nebo na CCC.

Ladislav Hagara | Komentářů: 0
dnes 02:22 | Komunita

Barton George, zakladatel a vedoucí projektu Sputnik, představil na svém blogu čtyři nové mobilní pracovní stanice Dell Precision s předinstalovaným Ubuntu. Jedná se o modely 3530, 5530, 7530 a 7730. Mobilní pracovní stanice budou certifikovány pro RHEL 7.5.

Ladislav Hagara | Komentářů: 6
dnes 01:11 | Nová verze

Vyšla verze 5.12 prohlížeče map a GPS logů GPXSee. Nová verze přidává podporu Garmin JNX map a přináší mírné zlepšení výkonu/UX.

Martin Tůma | Komentářů: 0
včera 12:11 | Komunita

V Praze na Fakultě informačních technologií ČVUT probíhá openSUSE Conference 2018. Přednášky lze sledovat také online. Aktuální dění lze sledovat na Twitteru. Stisknutím zeleného tlačítka bylo dnes dopoledne vydáno openSUSE Leap 15.0.

Ladislav Hagara | Komentářů: 7
včera 11:44 | Komunita

Na Steamu probíhá do 28. května akce s názvem Spring Cleaning (Jarní úklid). V rámci akce lze hrát hry Don't Starve Together, Cities: Skylines, Tyranny, Borderlands 2, Middle-earth: Shadow of Mordor a Left 4 Dead 2 běžící na Linuxu zdarma [GamingOnLinux].

Ladislav Hagara | Komentářů: 2
24.5. 23:23 | Humor

Nová služba České pošty nazvaná Bezpečné úložiště nabízí až 100GB kapacitu pro "bezpečnou správu Vašich dat pod patronací důvěryhodného partnera Česká pošta".

… více »
Lol Phirae | Komentářů: 56
24.5. 22:14 | Bezpečnostní upozornění

Nova kritická hrozba VPNfilter bola zistená po dlhšiej spolupráce Talos s verejnými i súkromnými bezpečnostnými agentúrami. VPNfilter ohrozuje približne 500 000 zariadení v približne 54 krajinach. Zasiahnutí výrobcovia sú Linksys, MikroTik, NETGEAR, TP-Link (SOHO), QNAP (NAS). Správanie malwaru je nebezpečnej povahy, čo môže v určitých prípadoch spôsobiť škody veľkého rozsahu. Často tieto zariadenia sú na perimetri sieťe bez ochrany.

ewew | Komentářů: 5
24.5. 21:55 | Pozvánky

CSNOG (Czech and Slovak Network Operators Group), první československé setkání síťových operátorů, se uskuteční 11. a 12. června v Brně. Akce je určena poskytovatelům internetového připojení, síťovým operátorům, provozovatelům registrů, internetovým odborníkům a všem zájemcům o internetové a síťové technologie. Program je zaměřený na odborná, technická témata jako například síťová architektura, bezpečnost sítí, zpracování dat, DNS a další. Nutná je registrace.

Ladislav Hagara | Komentářů: 0
24.5. 21:33 | Komunita

Na Humble Bundle lze získat počítačovou hru, simulátor hackování, Hacknet (Wikipedie, YouTube) běžící také v Linuxu zdarma. Tentokrát je ke stažení také verze bez DRM a navíc soundtrack. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
23.5. 20:11 | Zajímavý software

Alexandre Julliard oznámil jménem vývojového týmu Wine vydání první verze 1.0 knihovny vkd3d určené pro překlad volání Direct3D 12 na Vulkan. Zdrojové kódy vkd3d jsou k dispozici pod licencí LGPLv2.1+.

Ladislav Hagara | Komentářů: 1
Používáte pro některé služby inetd?
 (35%)
 (23%)
 (42%)
Celkem 155 hlasů
 Komentářů: 5, poslední 22.5. 16:46
    Rozcestník

    Dotaz: IPv6 basics

    28.7.2009 11:03 Zdenda
    IPv6 basics
    Přečteno: 340×

    V mem okolik neni nikdo s nejakou znalosti/zkusenosti IPv6. Marne na internetu hledam odpovedi ohledne zakladnich otazek.

     

    1-IPv4 --- sit 100PC za linux firewallem/routerem s verejnou IPv4 adresou, ktery dela NAT. Nekolik PC maji tunelovane porty na verejnou IP na linux brane. V siti bezi DHCP a rozdava IP adresy 192.168.x.x

     

    2-IPv6 --- ISP poskytuje IPv6, obdrzeno /48, sit 100PC za linux routerem/firewallem. Vsechny servery/stanice pouzivaji pouze IPv6, ktere jsou poskytovany pomoci radvd nebo rucne prirazeny

     

    Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?

     

    Odpovědi

    28.7.2009 11:57 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: IPv6 basics

    Předně jak se situace liší od bohužel pro vás hypotetické situace, kdy by ste měl dost IPv4 adres a žádný NAT jste neprovozoval?

    Až si vyřešíte zabezpečení této hypotetické situace, tak se můžeme bavit o rozdílech mezi IPv4 a IPv6. V podstatě kromě „source-routingu“, který se v trochu jiné formě vrátil a který lze úspěšně vypnout/ignorovat/blokovat jako v IPv4, je pak už jediným závažným rozdílem ICMPv6. Ohledně toho existuje rozsáhlé pojednání.

    Je ovšem nutné si uvědomit, že když zapínáte firewall na bráně, tak tím omezujete svobodu koncových stanic. Co potřebujete vy a vaši uživatelé a čemu dáte přednost, si ale musíte vyřešit sami.

    28.7.2009 12:02 NN
    Rozbalit Rozbalit vše Re: IPv6 basics

    Myslim ze v klidu firewallem, zalezi na distribuci:

    http://tldp.org/HOWTO/Linux+IPv6-HOWTO/x2228.html

    NN

    28.7.2009 18:52 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: IPv6 basics
    Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall?

    Tenhle problém řeší jen ti, kteří doposud mylně pokládali maškarádu za bezpečnostní řešení. PC připojené k internetu by se mělo umět postarat samo o sebe, takže ano, nejjednodušší cesta je aby každej kopal sám za sebe zvlášť. Pokud tomu nevěříte, bude potřeba zavést nějaký arbitrující firewall, který rozdělí síť na zóny, mezi kterými je komunikace pevně dána nebo zakázána.
    In Ada the typical infinite loop would normally be terminated by detonation.
    28.7.2009 20:57 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: IPv6 basics
    Tenhle problém řeší jen ti, kteří doposud mylně pokládali maškarádu za bezpečnostní řešení. PC připojené k internetu by se mělo umět postarat samo o sebe, takže ano, nejjednodušší cesta je aby každej kopal sám za sebe zvlášť.
    PC za NATem není tak úplně totéž jako PC připojené k internetu. A pokud je na tom routeru, který dělá NAT, rozumě nastavený firewall, tak zároveň zajišťuje zabezpečení počítačů v síti. (Například omezením forwardu na spojení, která byla iniciována z vnitřní sítě.)
    Quando omni flunkus moritati
    28.7.2009 21:18 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: IPv6 basics
    Pokud by tam byl FW už teď tak asi tazatel se nemá na co ptát?
    In Ada the typical infinite loop would normally be terminated by detonation.
    Heron avatar 28.7.2009 21:08 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: IPv6 basics
    Vrta mi hlavou jak zabezpecit tech 100 PC? Rozjet na kazdem PC zvlast firewall? Nebo pujde ochranit tech 100PC pomoci iptables6 na tom routeru? V tom pripade obecne jak by to pravidlo melo vypadat?

    Rozjet firewall na každém zvlášť jistě je řešení, ale proč to, když už tam firewall pro všechny máte. Na to firewallu nastavíte provoz ven a na jednotlivé PC budete pouštět porty podle potřeby. Velice jednoduše pro IPv4, pro 6 se změní jen adresy a ip6tables:

    iptables -P FORWARD DROP # výchozí politika, všechno zahodit
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # navázané pustíme
    iptables -A FORWARD -i LAN -o INET -j ACCEPT # zevnitř ven pustíme
    iptables -A FORWARD --proto icmp -j ACCEPT
    

    Předchozí kód tam budete mít 100% již dnes (v různých modifikacích). Zbytek řešíte natem a port forwardem. To už nebudete potřebovat. Teď stačí pridávat pravidla pro stroje (identifikované svoji vlastní adresou) a porty:

    iptables -A FORWARD -d 1.2.3.4 --proto tcp --dport 22 -j ACCEPT # SSH na server1
    iptables -A FORWARD -d 2.3.4.5 --proto tcp --dport 80 -j ACCEPT # HTTPD na server2
    iptables -A FORWARD -d 3.4.5.6 -j ACCEPT # stroj 3 má vlastní FW, pustíme vše.
    iptables -A FORWARD -d 4.5.6.7 --proto tcp --dport 5900 -s 5.6.7.8 # na vnc stroje 4 pouze z firmy.
    

    Je to velmi jednoduché, vše se řeší v chainu forward. Ochrana vlastního FW pak v INPUT, ale to je snad jasné.

    PS: ukázka FW v tomto komentáři si neklade za cíl zabránit všem útokům, je vhodné jej doplnit o vhodné nastavení ICMP, anti spoofing a další bezpečnostní prvky.

    Heron avatar 28.7.2009 21:15 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: IPv6 basics
    Ještě se doplním, já to řeším tak, že pro každý stroj (tj. veřejnou IP) mám zváštní chain. Do toho směřuji packety pro danou IP a v něm už jen povoluji porty. Přijde mi to přehlednější. Lze nalézt i jiné způsoby rozdělení, pro 100 PC to mohou být třeba chainy podle služeb a pak jen házet packety jednotlivých strojů do chainů povolující ty které služby. A pod.
    iptables -N server_a
    iptables -A server_a --proto tcp --dport 22 -j ACCEPT
    iptables -A server_a --proto tcp --dport 80 -j ACCEPT
    ........
    
    iptables -A FORWARD -d 1.2.3.4 -j server_a
    
    28.7.2009 21:37 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: IPv6 basics
    Určitě nakonfigurovat firewall na tom routeru, stejně jako to máte pro IPv4. NAT není firewall. Firewall na jednotlivých počítačích – to záleží na tom, jak moc můžete důvěřovat ostatním počítačům v síti. Pokud z nich můžete čekat nějaké útoky, použijte firewall i na všech počítačích (nebo filtrující switch), pokud máte ty počítače a přístup do sítě v rozumné míře pod kontrolou, stačí ten firewall na routeru.
    29.7.2009 10:10 pepazdepa
    Rozbalit Rozbalit vše Re: IPv6 basics

    jeden z duvodu nasazeni IPv6 je prave odstraneni NATu, aby fungovaly p2p aplikace a VOIP bez berlicek. takze zablokovani vseho je fakt imbecilni reseni.

    29.7.2009 12:35 pht | skóre: 48 | blog: pht
    Rozbalit Rozbalit vše Re: IPv6 basics
    +1
    In Ada the typical infinite loop would normally be terminated by detonation.
    29.7.2009 12:48 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: IPv6 basics
    Nechtěl jsem to takhle přímo napsat, protože nevím, jaký je vztah mezi provozovatelem brány a sítěmi za ní. Ale pokud vztahem je poskytování připojení k Internetu, tak naprosto souhlasím.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.